新加坡金融管理局(MAS)和新加坡银行协会(ABS)在2024年7月9日宣布,新加坡的零售银行机构在三个月内将逐步淘汰一次性密码(OTP)的使用,以减少网络钓鱼攻击的风险。
根据MAS的说法,已经在自己的移动设备上激活了数字令牌的客户将使用这些数字令牌通过浏览器或移动银行应用程序登录银行账户。数字令牌验证客户的登录,无需使用一次性密码,这样就减少了骗子窃取或诱使客户披露一次性密码的风险。
MAS还敦促客户激活他们的数字令牌,以防范那些旨在窃取凭证并劫持客户账户进行金融欺诈的攻击。
新加坡银行协会(ABS)的主任Ong-Ang Ai Boon在声明中表示,新措施可以进一步保护客户免受未授权访问其银行账户的风险。尽管这些措施可能会带来一些不便,但它们对于预防诈骗和保护客户是必要的。
一次性密码(OTP)最初是作为第二因素认证(2FA)引入以增强账户安全的,但网络犯罪分子已经开发出了能够通过仿冒网站获取这些代码的银行木马、OTP机器人和钓鱼工具包。
通过Telegram可获取的OTP机器人,通过打电话给用户并说服他们输入手机上的2FA代码,以帮助绕过账户保护。这些机器人主要是为了窃取受害者的OTP代码,这意味着骗子需要通过其他方式获取有效的凭证,例如数据泄露、在暗网上出售的数据集以及收集凭证的网页。
据卡巴斯基威胁研究员Olga Svistunova在最近的一份报告,OTP机器人的关键任务是拨打受害者的电话。诈骗者依赖这种方式,因为验证码(OTP)只在有限的时间内有效。这意味着,诈骗者需要在验证码过期之前迅速获取它。
报告中还提到,与可能长时间未被回复的消息相比,打电话给用户可以增加获取验证码的机会。电话还可以让诈骗者通过语气对受害者产生预期的影响。这表明诈骗者可能会利用电话中的语气和说服力来操纵受害者,使他们更有可能提供验证码。
来源:E安全